Tusinder af forbruger -pc'er er blevet offer for malware, der gør dem til zombier.
Microsoft og Cisco Talos offentliggjorde begge omfattende rapporter om malware og forklarede, hvordan angrebet får brugere til at downloade en ondsindet HTML -fil og derefter bruger den populære Node.js -ramme (som udfører Javascript uden for en webbrowser) og WinDivert (et værktøj til pakkeopsamling af netværk) apps til at inficere og tage kontrol over en computer. Den inficerede HTML -applikation eller HTA distribueres typisk gennem ondsindede annoncer, der sendes via legitime indholdsleveringstjenester, f.eks. Amazon Cloudfront.
Når filen kører, downloades den yderligere Javascript -kode, der til sidst starter PowerShell og skriver et ondsindet script. Det sker flere gange, hvor hver forekomst af PowerShell fører til det næste angreb, der starter med at deaktivere Windows Defender Antivirus og slutter med en JavaScript -nyttelast, der kører på node.exe. Den endelige JavaScript -nyttelast gør den inficerede enhed til en proxy -zombie, der kan bruges af en angriber til at udføre forskellige ondsindede aktiviteter.
Microsoft kalder malware Nodersok, mens Cisco Talos kalder det Divergent. Uanset hvad siges angrebet primært at målrette dagligdags forbrugere i USA og Europa, og Microsoft siger, at 3% af møderne blev set af organisationer i uddannelses-, sundheds- eller finanssektoren.
Der er modstridende teorier om, hvad malware rent faktisk gør. Cisco siger, at malware var designet til at generere indtægter ved hjælp af klik-svindel, en teknik til at generere svigagtige omkostninger, der koster annoncører milliarder af dollars hvert år. Microsoft mener på den anden side, at malware blev oprettet som et relæ til adgang til netværksenheder og plant ondsindet kode.
Uanset hvad tilfældet er, er angrebet ret snigende, da det bruger teknikker forbundet med "fileløs" malware eller malware, der efterlader få spor efter for forskere at opdage.
"Kampagnen er særlig interessant, ikke kun fordi den anvender avancerede fileløse teknikker, men også fordi den er afhængig af en undvigende netværksinfrastruktur, der får angrebet til at flyve under radaren," skrev Microsoft i et blogindlæg. "Vi afdækkede denne kampagne i midten af juli, da mistænkelige mønstre i den unormale brug af MSHTA.exe opstod fra Microsoft Defender ATP-telemetri. I de efterfølgende dage skilte flere anomalier sig ud og viste sig til en ti gange stigning i aktivitet. "
Sådan beskytter du din pc mod Nodersok/Divergent
Så undvigende som denne nyopdagede malware kan være, lover både Microsoft og Cisco, at deres tjenester --- henholdsvis Windows Defender og Cisco Advanced Malware Protection (AMP) --- kan opdage og stoppe malware. Imidlertid er ikke alle pc'er udstyret med disse anti-malware-forsvarere, og tredjepartsløsninger har en vanskelig tid med denne særlige malware.
Hvis du vil være 100% beskyttet, foreslår Microsoft, at du ikke kører HTA (eller HTML -applikationer) på dine Windows -systemer, især hvis de ikke kan spore dem tilbage til en legitim ejer.
Kredit: Rawpixel.com/Shutterstock
- Bedste antivirussoftware - Topsoftware til pc, Mac og …